Configuration et administration de Trusted Extensions

Quitter la vue de l'impression

 
Mis à jour : Juillet 2014
 
 

Aucun remplacement de privilège pour la stratégie de lecture-écriture du contrôle MAC

La stratégie MAC pour les fichiers de lecture et d'écriture ne dispose d'aucun remplacement de privilège. Les jeux de données à niveau unique peuvent uniquement être montés en lecture-écriture si l'étiquette de la zone est identique à l'étiquette du jeu de données. Pour les montages en lecture seule, l'étiquette de la zone doit dominer l'étiquette du jeu de données. Pour les jeux de données multiniveau, tous les fichiers et répertoires doivent être dominés par la propriété mlslabel, qui est définie par défaut sur ADMIN_HIGH. Pour les jeux de données multiniveau, la stratégie MAC est appliquée au niveau du fichier et du répertoire. Aucun utilisateur ne peut accéder à la stratégie MAC d'application. Les utilisateurs ne peuvent pas afficher un objet, à moins qu'ils ne disposent d'un accès MAC à l'objet.

    Voici un récapitulatif des stratégies de partage et de montage dans Trusted Extensions pour les jeux de données à niveau unique :

  • Pour qu'un système Trusted Extensions puisse monter un système de fichiers sur un autre système Trusted Extensions, le serveur et le client doivent posséder des modèles d'hôte distant compatibles de type cipso.

  • Pour qu'un système Trusted Extensions monte un système de fichiers à partir d'un système qui n'est pas de confiance, l'étiquette unique assignée au système qui n'est pas de confiance par le système Trusted Extensions doit correspondre à l'étiquette de la zone globale.

    De même, pour qu'une zone étiquetée monte un système de fichiers à partir d'un système qui n'est pas de confiance, l'étiquette unique assignée au système qui n'est pas de confiance par le système Trusted Extensions doit correspondre à l'étiquette de la zone de montage.

  • Les fichiers dont les étiquettes sont différentes de la zone de montage et qui sont montés avec LOFS peuvent être visualisés, mais pas modifiés. Pour plus d'informations sur les montages NFS, reportez-vous à la section Configuration du client et du serveur NFS dans Trusted Extensions.

    Voici un récapitulatif des stratégies de partage et de montage dans Trusted Extensions pour les jeux de données multiniveau :

  • Pour qu'un système Trusted Extensions partage un jeu de données multiniveau avec un autre système, le serveur NFS doit être configuré en tant que service multiniveau.

  • Pour qu'un système Trusted Extensions multiniveau partage un jeu de données multiniveau contenant des zones étiquetées sur son propre système, la zone globale doit monter le jeu de données en LOFS dans les zones.

    La zone étiquetée possède un droit d'accès en écriture aux fichiers et aux répertoires montés en LOFS dont l'étiquette correspond à l'étiquette de la zone, et dispose d'un accès en lecture sur les fichiers et répertoires qu'elle domine. La stratégie MAC est appliquée au niveau de chaque fichier et répertoire.

Copyright © 1992, 2014, Oracle et/ou ses affiliés. Tous droits réservés. Mentions légales
Précédent
Suivant